SICHERHEIT BEI MOBILE PAYMENT IT SICHERHEITSTAG NRW – 03.12.2014

conVISUAL AG BASISINFORMATIONEN

Gegründet:  2000,  seit  Januar  2006  im  Entry  Standard  an  der  Frankfurter  Börse  no:ert  Standorte:  Oberhausen,  Frankfurt  und  Wien  Mitarbeiter:  ca.  65  in  Deutschland  und  Österreich  

PLAN

Die  conVISUAL  AG  ist  Ihr  zuverlässiger  Partner  für  interna:onale  digitale  Businessprojekte  dank  mehr  als  14  Jahren  Projekt-­‐Erfahrung  in  über  30  Ländern  weltweit.  

BUILD

RUN ANALYZE

LEISTUNGSSPEKTRUM UND KUNDEN MOBILITY – CLOUD – SECURITY – SAAS PRODUKTE

Lösungen und Produkte für Kunden in über 30 Ländern

Security Cloud Mobility

SaaS-

Produkte

PROJEKTBEISPIEL MCDONALDS QUICK MAC APP (ÖSTERREICH)

NICHT NUR EINE APP EIN BLICK HINTER DIE KULISSEN

Virtualization/Cloud

Security/Payment

Mobility

TLS

PSP BACKEND

mWeb PayPal

native SDK PayBox

native SDK PayUnity

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

QUICK MAC DETAILS DIE SYSTEMARCHITEKTUR

Quick Mac Server

INTERNET Quick Mac App

DIE GRUNDSÄTZE INFORMATIONSSICHERHEIT

1.  VERTRAULICHKEIT Datenzugriff nur autorisiert

2.  INTEGRITÄT

Keine unerwünschte Veränderung der Daten 3.  VERFÜGBARKEIT

Datenzugriff innerhalb angemessener Zeit

TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS

1.  Kunde bezahlt, bekommt aber kein Produkt

2.  Kunde bezahlt nicht (vollständig), bekommt aber das Produkt

3.  Konto des Kunden wird übermäßig hoch belastet

DIE RETTUNG IN DER NOT

DER „TRUST ANCHOR“

DIE RETTUNG IN DER NOT WO LIEGEN UNSERE ANKER?

Quick Mac Server

INTERNET

PSP BACKEND

mWeb PayPal

native SDK PayBox

native SDK PayUnity

Quick Mac App

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS

Kreative Kunden entdecken eine Schwachstelle

TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS

Kreative Kunden entdecken eine Schwachstelle:

●  unsicherer Ablauf bei Produktübergabe

ToDo: Einbindung ins Kassensystem, oder Aufbau eines Parallelsystems

●  reproduzierbares Software-Problem

ToDo: Möglichst viel Kontrolle am Server ermöglicht schnelle Updates

TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS

Technische Probleme und Teilausfälle

TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS

Technische Probleme und Teilausfälle: ●  System antwortet nicht mehr und provoziert Fehler im Ablauf

ToDo: Abläufe geschickt programmieren und Entscheidungen absichern

TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS

Hacker Attacken

TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS

Hacker-Attacken: ●  [Distributed] Denial of Service Attacken (DoS/DDoS):

ToDo: Vermeidung von Unsicherheiten im „Message-Flow“

●  Man in the Middle Attacken (MitM):

ToDo: Sensible Daten immer vom Server abrufen bzw. am Server ablegen und diese validieren z.B. Payment-Token für wiederkehrende Bezahlung

ToDo: Immer State-of-the-Art bei allen Datenübertragungen z.B. TLS 1.2 statt SSL 3.0

QUICK MAC DETAILS ABLAUF DER ZAHLUNG

Quick Mac Server

INTERNET

PSP BACKEND

mWeb PayPal

native SDK PayBox

native SDK PayUnity

Quick Mac App

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

QUICK MAC DETAILS ABLAUF DER ZAHLUNG

Quick Mac Server

INTERNET

PSP BACKEND

mWeb PayPal

native SDK PayBox

native SDK PayUnity

Quick Mac App

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

TEST-BESTELLUNG

QUICK MAC DETAILS ABLAUF DER ZAHLUNG

Quick Mac Server

INTERNET

PSP BACKEND

mWeb PayPal

native SDK PayBox

native SDK PayUnity

Quick Mac App

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

AUTHENTIFIZIERUNG

QUICK MAC DETAILS ABLAUF DER ZAHLUNG

Quick Mac Server

INTERNET

PSP BACKEND

mWeb PayPal

native SDK PayBox

native SDK PayUnity

Quick Mac App

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

AUTORISIERUNG

PIN

SMS/Voice

QUICK MAC DETAILS ABLAUF DER ZAHLUNG

Quick Mac Server

INTERNET

PSP BACKEND

mWeb PayPal

native SDK PayBox

native SDK PayUnity

Quick Mac App

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

BESTELLUNG

QUICK MAC DETAILS ABLAUF DER ZAHLUNG

Quick Mac Server

INTERNET

PSP BACKEND

mWeb PayPal

native SDK PayBox

native SDK PayUnity

Quick Mac App

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

RÜCKFRAGE

BUCHUNG

QUICK MAC DETAILS ABLAUF DER ZAHLUNG

INTERNET

PSP BACKEND

Quick Mac Server

mWeb PayPal

native SDK PayBox

native SDK PayUnity

Quick Mac App

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

BESTELLUNG

BUCHUNG

GELD GEGEN BURGER: WER ENTSCHEIDET? ABLAUF DER ZAHLUNG

PSP BACKEND

Quick Mac Server

McDonald‘s Gateway Bild/Produkt-Datenbank

200 Restaurant-Server

BESTELLUNG RÜCKFRAGE

CHECKLISTE PAYMENT SECURITY

●  „Foolproof“ Ablauf bei der Produktübergabe

●  Geeignete „Trust Anchor“ definieren

●  Durchdachter Message-Flow mit Payment-Providern

●  State-of-the-Art Verschlüsselung bei allen Datenübertragungen

●  Lasttests garantieren Systemstabilität

OWASP MOBILE SECURITY GUIDELINES REFERENZ FÜR ENTWICKLUNG UND TEST

OWASP MOBILE SECURITY: TOP 10 RISIKEN

●  M1: Weak Server Side Controls ●  M2: Insecure Data Storage ●  M3: Insufficient Transport Layer Protection ●  M4: Unintended Data Leakage ●  M5: Poor Authorization and Authentication ●  M6: Broken Cryptography ●  M7: Client Side Injection ●  M8: Security Decisions Via Untrusted Inputs ●  M9: Improper Session Handling ●  M10: Lack of Binary Protections

●  Sensitive Information Disclosure (Top 10 list 2013)

SSL UND TLS VERSCHLÜSSELUNG IM VERGLEICH

SSL ist veraltet (zuletzt Version SSL 3.0) und wird unter TLS weitergeführt (aktuell TLS 1.2). Die Unterschiede sind:

•  Socket vs Protokoll: SSL (Secure Sockets Layer) richtet den Fokus auf einen Port, wobei TLS (Transport Layer Security) beim Kommunikations-protokoll ansetzt

•  Angriffe: Alle SSL Versionen gelten als unsicher. Angriffe sind u.a. BEAST, Lucky13 und Poodle. TLS wehrt diese ab Version TLS 1.1 erfolgreich ab. Das BSI rät von dem Einsatz von SSL ab.

•  Perfect Forward Secrecy (PFS): TLS unterstützt Mechanismen um aus alten, gebrochene Verbindungen keine Rückschlüsse auf zukünftige Verbindungen machen zu können.

•  Client Überstützung: Hersteller der populären Browser FireFox und Chrome haben als das Agenda Ziel SSL komplett zu entfernen und nur TLS zu verwenden.

WIR BERATEN. PRODUKTE. IN DIE CLOUD, UND ZWAR SICHER

Peter Hofbauer, CSO peter.hofbauer@convisual.de +49 173 7285 032